Microsoft Defender ATP
Versión de integración: 23.0
Casos de uso
Usar los datos recopilados en Microsoft Defender for Endpoint para enriquecer la investigación de un caso en particular
Los analistas pueden usar los datos recopilados y almacenados en Microsoft Defender for Endpoint en las investigaciones, por ejemplo, para obtener información sobre las alertas detectadas en Microsoft Defender for Endpoint o enumerar las máquinas registradas en Microsoft Defender for Endpoint.
Realizar acciones de respuesta activa en posibles incidentes de seguridad, como aislar un host específico de una red o ejecutar un análisis antivirus
Supervisa e inspecciona las alertas de Microsoft Defender for Endpoint como alertas de Google Security Operations recuperadas por el conector respectivo.
Requisitos previos
Antes de configurar la integración en la plataforma de Google SecOps, asegúrate de completar los siguientes pasos previos:
Crea la app de Microsoft Entra.
Configura los permisos de la API para tu app.
Crea un secreto del cliente.
Te recomendamos que uses el contexto de la aplicación en lugar del contexto del usuario cuando accedas a la API de Microsoft Defender for Endpoint.
Crea una app de Microsoft Entra
Accede al portal de Azure como administrador de usuarios o administrador de contraseñas.
Selecciona Microsoft Entra ID.
Ve a Registros de aplicaciones > Nuevo registro.
Ingresa el nombre de la app.
Haz clic en Registrar.
Guarda los valores de ID de la aplicación (cliente) y ID del directorio (inquilino) para usarlos más adelante cuando configures los parámetros de integración.
Configura los permisos de API
Ve a Permisos de API > Agregar un permiso > APIs que usa mi organización. Se abrirá el cuadro de diálogo Solicitar permisos de API.
En el campo Buscar, ingresa
WindowsDefenderATP.Selecciona WindowsDefenderATP > Permisos de aplicación.
En el tipo de permiso Alerta, selecciona el siguiente permiso:
Alert.Read.All
Haz clic en Agregar permisos.
En la página Permisos de API, haz clic en Agregar un permiso.
Selecciona Microsoft Graph > Permisos delegados.
En la sección Seleccionar permisos, selecciona el siguiente permiso obligatorio:
User.Read
Haz clic en Agregar permisos.
En la página Permisos de API, haz clic en Agregar un permiso.
Selecciona WidnowsDefenderATP > Permisos de aplicación.
En la sección Seleccionar permisos, selecciona los siguientes permisos obligatorios:
AdvancedQuery.Read.AllAlert.Read.AllAlert.ReadWrite.AllEvent.WriteFile.Read.AllIp.Read.AllMachine.IsolateMachine.Read.AllMachine.ReadWrite.AllMachine.ScanMachine.StopAndQuarantineTi.ReadWriteUrl.Read.AllUser.Read.All
Haz clic en Otorgar consentimiento del administrador para
ORGANIZATION_NAME.Cuando aparezca el diálogo Confirmación de consentimiento del administrador, haz clic en Sí.
A continuación, se muestra un ejemplo de una solicitud a la API para obtener las alertas de Defender ATP (ten en cuenta el parámetro $expand que se usa para recuperar datos sobre direcciones IP, dominios y archivos):
GET /api/alerts?$expand=files,ips,domains HTTP/1.1
Host: api.securitycenter.windows.com
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJ...
User-Agent: PostmanRuntime/7.19.0
Accept: */ *
Cache-Control: no-cache
Postman-Token: 2dc0f885-068a-45d4-81a6-2da0d23a58ad,d3dd0e6e-83ab-4d27-94d2-0f3889dff324
Host: api.securitycenter.windows.com
Accept-Encoding: gzip, deflate
Connection: keep-alive
cache-control: no-cache
Para obtener más información sobre los parámetros y las opciones de solicitud, como el filtro o la expansión, consulta APIs de Microsoft Defender for Endpoint compatibles en la documentación de Microsoft.
Crea un secreto del cliente
Navega a Certificados y secretos > Nuevo secreto del cliente.
Proporciona una descripción para un secreto del cliente y establece su fecha límite de vencimiento.
Haz clic en Agregar.
Guarda el valor del secreto del cliente (no el ID del secreto) para usarlo como el valor del parámetro
Client Secretcuando configures la integración. El valor del secreto del cliente solo se muestra una vez.
Habilita la integración de SIEM (obsoleto)
En el panel de navegación, selecciona Configuración > SIEM.
Selecciona Habilitar la integración del SIEM.
Esto activa la sección de detalles de acceso del conector del SIEM con valores completados previamente y se crea una aplicación en tu arrendatario de Azure AD.
- Elige el tipo de SIEM como API genérica.
- Copia los valores individuales o selecciona Guardar detalles en un archivo para descargar un archivo que contenga todos los valores.
- Necesitarás los valores que se presentan en esta página para generar un token y acceder a los datos de detección: ID de cliente, secreto del cliente y recurso.
Integra Microsoft Defender ATP con Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Para configurar la integración, usa los siguientes parámetros:
| Parámetros | |
|---|---|
Client ID |
Obligatorio ID de cliente (aplicación) de la app de Microsoft Entra que se usará para la integración. |
Client Secret |
Obligatorio Valor del secreto del cliente de la app de Microsoft Entra que se usará para la integración. |
Azure Active Directory ID |
Obligatorio Valor de Microsoft Entra ID (ID de inquilino). |
Verify SSL |
Optional Si se selecciona, verifica que el certificado SSL para la conexión al servidor de Microsoft 365 Defender sea válido. Esta opción se selecciona de forma predeterminada. |
API Root |
Obligatorio Es la URL raíz de la API que se usará con la integración. Para obtener un mejor rendimiento, puedes usar un servidor más cercano a tu ubicación:
El valor predeterminado es |
Acciones
Ping
Prueba la conectividad con la instancia de Microsoft Defender para Endpoint con los parámetros proporcionados en la página de configuración de la integración.
Parámetros
N/A
Casos de uso
La acción se usa para probar la conectividad y se puede ejecutar como una acción manual, que no forma parte de las tácticas.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Enriquece entidades
Enriquece las entidades de host, dirección IP o hash de archivo de Google SecOps en función de la información de Microsoft Defender for Endpoint.
Parámetros
N/A
Casos de uso
La acción se puede usar en las tácticas que investigan la actividad en los dispositivos. Si el dispositivo tiene instalado el agente de Microsoft Defender for Endpoint, la acción extrae información de Defender ATP en un dispositivo para enriquecer las entidades de Google SecOps. La acción también se puede usar para enriquecer los hashes de archivos de alertas con la información de Defender ATP.
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Host
- Dirección IP
- Filehash
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
Si el enriquecimiento funciona en la dirección IP o el host, haz lo siguiente:
[
{
"EntityResult": {
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines/$entity",
"id": "example_id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-18T11:13:04.0588699Z",
"lastSeen": "2019-11-24T18:31:50.581058Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.138",
"lastExternalIpAddress": "203.0.113.28",
"agentVersion": "10.4860.17134.982",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "High",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
}
}
]
Si el enriquecimiento funciona en Filehash, haz lo siguiente:
[
{
"EntityResult": {
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Files/$entity",
"sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
"sha256": "328954033456d5c13e58fb5bcc6c0232f9f62cb6d9185afa51c7913338992491",
"md5": "9512e1cc66a1d36feb0a290cab09087b",
"globalPrevalence": 5205000,
"globalFirstObserved": "2018-06-22T12:59:21.6460311Z",
"globalLastObserved": "2019-11-21T00:24:01.921338Z",
"size": 245760,
"fileType": "APP",
"isPeFile": true,
"filePublisher": "Microsoft Corporation",
"fileProductName": "Microsoft Windows Operating System",
"signer": "Microsoft Windows",
"issuer": "Microsoft Windows Production PCA 2011",
"signerHash": "419e77aed546a1a6cf4dc23c1f977542fe289cf7",
"isValidCertificate": true
},
"EntityResult": {
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.InOrgFileStats",
"sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
"orgPrevalence": "1",
"orgFirstSeen": "2019-11-19T03:54:15Z",
"orgLastSeen": "2019-11-19T04:21:18Z",
"globalPrevalence": "5205000",
"globalFirstObserved": "2018-06-22T12:59:21.6460311Z",
"globalLastObserved": "2019-11-21T00:24:01.921338Z",
"topFileNames": ["notepad.exe"]
}
}
]
Enriquecimiento de entidades
IP y host
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| Defender_ATP.sha1 | Devuelve si existe en el resultado JSON. |
| Defender_ATP.sha256 | Devuelve si existe en el resultado JSON. |
| Defender_ATP.md5 | Devuelve si existe en el resultado JSON. |
| Defender_ATP.globalPrevalence | Devuelve si existe en el resultado JSON. |
| Defender_ATP.globalFirstObserved | Devuelve si existe en el resultado JSON. |
| Defender_ATP.globalLastObserved | Devuelve si existe en el resultado JSON. |
| Defender_ATP.size | Devuelve si existe en el resultado JSON. |
| Defender_ATP.fileType | Devuelve si existe en el resultado JSON. |
| Defender_ATP.isPeFile | Devuelve si existe en el resultado JSON. |
| Defender_ATP.filePublisher | Devuelve si existe en el resultado JSON. |
| Defender_ATP.fileProductName | Devuelve si existe en el resultado JSON. |
| Defender_ATP.signer | Devuelve si existe en el resultado JSON. |
| Defender_ATP.issuer | Devuelve si existe en el resultado JSON. |
| Defender_ATP.signerHash | Devuelve si existe en el resultado JSON. |
| Defender_ATP.isValidCertificate | Devuelve si existe en el resultado JSON. |
| Defender_ATP.orgPrevalence | Devuelve si existe en el resultado JSON. |
| Defender_ATP.orgFirstSeen | Devuelve si existe en el resultado JSON. |
| Defender_ATP.orgLastSeen | Devuelve si existe en el resultado JSON. |
| Defender_ATP.topFileNames | Devuelve si existe en el resultado JSON. |
Hash del archivo
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| Defender_ATP.sha1 | Devuelve si existe en el resultado JSON. |
| Defender_ATP.sha256 | Devuelve si existe en el resultado JSON. |
| Defender_ATP.md5 | Devuelve si existe en el resultado JSON. |
| Defender_ATP.globalPrevalence | Devuelve si existe en el resultado JSON. |
| Defender_ATP.globalFirstObserved | Devuelve si existe en el resultado JSON. |
| Defender_ATP.globalLastObserved | Devuelve si existe en el resultado JSON. |
| Defender_ATP.size | Devuelve si existe en el resultado JSON. |
| Defender_ATP.fileType | Devuelve si existe en el resultado JSON. |
| Defender_ATP.isPeFile | Devuelve si existe en el resultado JSON. |
| Defender_ATP.filePublisher | Devuelve si existe en el resultado JSON. |
| Defender_ATP.fileProductName | Devuelve si existe en el resultado JSON. |
| Defender_ATP.signer | Devuelve si existe en el resultado JSON. |
| Defender_ATP.issuer | Devuelve si existe en el resultado JSON. |
| Defender_ATP.signerHash | Devuelve si existe en el resultado JSON. |
| Defender_ATP.isValidCertificate | Devuelve si existe en el resultado JSON. |
| Defender_ATP.orgPrevalence | Devuelve si existe en el resultado JSON. |
| Defender_ATP.orgFirstSeen | Devuelve si existe en el resultado JSON. |
| Defender_ATP.orgLastSeen | Devuelve si existe en el resultado JSON. |
| Defender_ATP.topFileNames | Devuelve si existe en el resultado JSON. |
Enumera las alertas
Enumera las alertas de Microsoft Defender for Endpoint según los criterios de búsqueda proporcionados. La acción devuelve información sobre las alertas encontradas en una tabla y un formulario de vista JSON como resultado de la acción, junto con los datos de alerta sin procesar que se almacenan y adjuntan al archivo JSON de resultado de la acción.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Período | Número entero | 3 | No | Especifica un período en horas para recuperar las alertas. |
| Estado | String | Desconocido, Nuevo, En curso, Resuelto | No | Especifica los estados de las alertas que se buscarán. El parámetro acepta varios valores como una cadena separada por comas. |
| Gravedad | String | N/A | No | Especifica la gravedad de los incidentes que se buscarán. Si no se proporciona, la acción buscará todas las gravedades. El parámetro acepta varios valores como una cadena separada por comas. Valores posibles: UnSpecified, Informational, Low, Medium y High |
| Categoría | String | N/A | No | Especifica la categoría de alerta que se buscará. Si no se proporciona, la acción buscará todas las categorías. El parámetro acepta varios valores como una cadena separada por comas. Valores posibles: "Collection", "CommandAndControl", "CredentialAccess", "DefenseEvasion", "Discovery", "Execution", "Exfiltration", "Exploit", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity", "UnwantedSoftware". |
| ID del incidente | Número entero | N/A | No | Especifica el ID del incidente de Microsoft Defender para el que deseas encontrar alertas relacionadas. |
Casos de uso
La acción se puede usar para revisar las advertencias de Defender ATP en el servidor de Google SecOps para un usuario final. Por ejemplo, cuando se trata de la advertencia que proviene del conector de Defender ATP, el usuario configura la acción "List Warnings" para que acepte el IncidentId de la alerta procesada como parámetro de entrada para extraer detalles del servidor de Defender ATP. No hay otras advertencias que formen parte de un solo incidente de Defender ATP.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
"value": [
{
"id": "example_id",
"incidentId": 2,
"investigationId": null,
"assignedTo": null,
"severity": "Medium",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "UnsupportedAlertType",
"detectionSource": "WindowsDefenderAtp",
"category": "Execution",
"threatFamilyName": null,
"title": "Unexpected behavior observed by a process run with no command line arguments",
"description": "The legitimate process by this name does not normally exhibit this behavior when run with no command line arguments. \nSuch unexpected behavior may be a result of extraneous code injected into a legitimate process, or a malicious executable masquerading as the legitimate one by name.",
"alertCreationTime": "2019-11-19T03:56:35.3007009Z",
"firstEventTime": "2019-11-19T03:54:16.0441057Z",
"lastEventTime": "2019-11-19T03:54:16.0441057Z",
"lastUpdateTime": "2019-11-19T03:56:38.45Z",
"resolvedTime": null,
"machineId": "machine-id",
"alertUser": null,
"comments": [],
"alertFiles": [],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
]
}
Actualizar alerta
Actualiza una alerta específica de Microsoft Defender for Endpoint. La acción se puede usar para cerrar una alerta en Microsoft Defender for Endpoint.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| ID de alerta | String | N/A | Sí | Especifica el ID de alerta de Microsoft Defender for Endpoint que se actualizará. |
| Estado | DDL | Nuevo Valores posibles:
|
No | Especifica el estado de la alerta al que se actualizará. |
| Asignado a | String | N/A | No | Especifica la información del usuario si quieres actualizar este campo. |
| Clasificación | DDL | Desconocido Valores posibles:
|
No | Especifica la clasificación con la que se actualizará la alerta. |
| Determinación | DDL | NotAvailable Valores posibles:
|
No | Especifica la determinación con la que se actualizará la alerta. |
Casos de uso
Usa la acción para actualizar una advertencia de Defender ATP.
Usa la acción para intervenir en un flujo de trabajo que involucre el análisis de advertencias de ATP de Defender.
Después de que Google SecOps procese la alerta, puedes ignorar la alerta de Defender ATP para mantener alineadas las listas de alertas de Defender ATP y Google SecOps. También puedes cambiar la alerta para que muestre el progreso del análisis (por ejemplo, establecer el atributo
assignedToo el estado de la alerta eninProgress).
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts/$entity",
"id": "example-id",
"incidentId": 1,
"investigationId": null,
"assignedTo": null,
"severity": "Informational",
"status": "Resolved",
"classification": null,
"determination": null,
"investigationState": "UnsupportedAlertType",
"detectionSource": "WindowsDefenderAtp",
"category": "Execution",
"threatFamilyName": null,
"title": "[Test Alert] Suspicious Powershell commandline",
"description": "*** This is a test alert ***\nA suspicious Powershell commandline was found on the machine. This commandline might be used during installation, exploration, or in some cases with lateral movement activities which are used by attackers to invoke modules, download external payloads, and get more information about the system. Attackers usually use Powershell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
"alertCreationTime": "2019-11-18T11:17:48.287421Z",
"firstEventTime": "2019-11-18T11:15:06.5226815Z",
"lastEventTime": "2019-11-18T11:15:06.5226815Z",
"lastUpdateTime": "2019-11-20T04:12:03.6066667Z",
"resolvedTime": "2019-11-20T04:12:03.4976288Z",
"machineId": "machine-id",
"alertUser": {
"accountName": "Administrator",
"domainName": "example-domain"
},
"comments": [],
"alertFiles": [
{
"sha1": "3ce71813199abae99348f61f0caa34e2574f831c",
"sha256": "9a7c58bd98d70631aa1473f7b57b426db367d72429a5455b433a05ee251f3236",
"filePath": "C:\\Windows\\System32\\cmd.exe",
"fileName": "cmd.exe"
},
{
"sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
"sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
"filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"fileName": "powershell.exe"
}
],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
Enumera máquinas
Obtiene información sobre las máquinas registradas en el servidor de Microsoft Defender for Endpoint según los parámetros proporcionados para la búsqueda.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Período de última visualización | Número entero | N/A | No | Especifica el período de última visualización que se buscará en horas. |
| Nombre de la máquina | String | N/A | No | Especifica el nombre completo de la máquina que se buscará. |
| Dirección IP de la máquina | String | N/A | No | Especifica la dirección IP de la máquina que se buscará. |
| Puntuación de riesgo de la máquina | String | Ninguna, Baja, Media, Alta | No | Especifica la puntuación de riesgo de la máquina que se buscará. El parámetro acepta varios valores como una cadena separada por comas. |
| Estado de la máquina | String | Active, Inactive, ImpairedCommunication, NoSensorData, NoSensorDataImpairedCommunication | No | Especifica el estado de la máquina que se buscará. El parámetro acepta varios valores como una cadena separada por comas. |
| Plataforma del SO de la máquina | String | N/A | No | Especifica la plataforma del SO de la máquina que se buscará. |
| ID del grupo de RBAC | String | N/A | No | Especifica el ID del grupo de RBAC que se buscará. |
Casos de uso
La acción se puede usar con fines de investigación para obtener información sobre los dispositivos registrados en el servidor de Defender ATP. Esta acción se usa principalmente como acción manual para que el usuario no tenga que volver a la consola de Defender ATP y buscar en qué máquinas está funcionando el agente de Defender ATP.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines",
"value": [
{
"id": "example-id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-18T11:13:04.0588699Z",
"lastSeen": "2019-11-20T09:59:28.0646303Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.138",
"lastExternalIpAddress": "203.0.113.35",
"agentVersion": "10.4860.17134.982",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "High",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
},{
"id": "example-id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-20T08:36:16.2721384Z",
"lastSeen": "2019-11-20T08:36:52.7182837Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.141",
"lastExternalIpAddress": "203.0.113.35",
"agentVersion": "10.4850.17134.191",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "None",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
}
]
}
Obtén el registro de la máquina de los usuarios
Obtiene información sobre el acceso de un usuario a una máquina específica.
Parámetros
N/A
Casos de uso
La acción se puede usar para fines de investigación y obtener detalles específicos sobre los usuarios que inician sesión en una máquina en cuestión desde el servidor de ATP de Defender.
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Host
- Dirección IP
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Users",
"value": [
{
"id": "example\\example.user",
"accountName": "example.user",
"accountDomain": "example",
"accountSid": null,
"firstSeen": "2019-11-19T03:50:36Z",
"lastSeen": "2019-11-19T03:50:36Z",
"mostPrevalentMachineId": null,
"leastPrevalentMachineId": null,
"logonTypes": "Interactive",
"logOnMachinesCount": 1,
"isDomainAdmin": false,
"isOnlyNetworkUser": null
}
]
}
Recibe alertas relacionadas con la máquina
Recibe alertas relacionadas con máquinas específicas registradas en Defender ATP.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Estado | String | Desconocido, Nuevo, En curso, Resuelto | No | Especifica los estados de las alertas que se buscarán. El parámetro acepta varios valores como una cadena separada por comas. |
| Gravedad | String | UnSpecified, Informational, Low, Medium, High | No | Especifica la gravedad de los incidentes que se deben buscar. El parámetro acepta varios valores como una cadena separada por comas. |
| Categoría | String | N/A | No | Especifica la categoría de alerta que se buscará. Si no se proporciona, la acción buscará todas las categorías. El parámetro acepta varios valores como una cadena separada por comas. Valores posibles: "Collection", "CommandAndControl", "CredentialAccess", "DefenseEvasion", "Discovery", "Execution", "Exfiltration", "Exploit", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity", "UnwantedSoftware". |
| ID del incidente | Número entero | N/A | No | Especifica el ID del incidente de Microsoft Defender para el que deseas encontrar alertas relacionadas. |
Casos de uso
La acción se puede usar con fines de investigación para obtener alertas relacionadas con una máquina específica en cuestión desde el servidor de Defender ATP.
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Host
- Dirección IP
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
"value": [
{
"id": "example-id",
"incidentId": 1,
"investigationId": null,
"assignedTo": "testuser@example.com",
"severity": "Informational",
"status": "Resolved",
"classification": "FalsePositive",
"determination": "SecurityTesting",
"investigationState": "UnsupportedAlertType",
"detectionSource": "WindowsDefenderAtp",
"category": "Execution",
"threatFamilyName": null,
"title": "[Test Alert] Suspicious Powershell commandline",
"description": "*** This is a test alert ***\nA suspicious Powershell commandline was found on the machine. This commandline might be used during installation, exploration, or in some cases with lateral movement activities which are used by attackers to invoke modules, download external payloads, and get more information about the system. Attackers usually use Powershell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
"alertCreationTime": "2019-11-18T11:17:48.287421Z",
"firstEventTime": "2019-11-18T11:15:06.5226815Z",
"lastEventTime": "2019-11-18T11:15:06.5226815Z",
"lastUpdateTime": "2019-11-20T04:12:03.91Z",
"resolvedTime": "2019-11-20T04:12:03.4976288Z",
"machineId": "machine-id",
"alertUser": {
"accountName": "Administrator",
"domainName": "US-LT-V13007"
},
"comments": [],
"alertFiles": [
{
"sha1": "3ce71813199abae99348f61f0caa34e2574f831c",
"sha256": "9a7c58bd98d70631aa1473f7b57b426db367d72429a5455b433a05ee251f3236",
"filePath": "C:\\Windows\\System32\\cmd.exe",
"fileName": "cmd.exe"
},
{
"sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
"sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
"filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"fileName": "powershell.exe"
}
],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
]
}
Aislamiento de la máquina
Aísla una máquina con Microsoft Defender for Endpoint. La máquina se puede configurar en aislamiento completo o aislamiento selectivo. Las aplicaciones de Outlook, Skype Empresarial y Teams siguen funcionando en una máquina aislada.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Tipo de aislamiento | DDL | Completo Valores posibles:
|
Sí | Especifica el tipo de aislamiento. |
| Comentario | String | N/A | Sí | Especifica un comentario sobre por qué se debe aislar la máquina. |
| ¿Cómo crear una estadística? | Casilla de verificación | Marcado | Si está habilitada, la acción crea una estadística de Google SecOps con información relacionada si se ejecuta correctamente. |
Casos de uso
Aísla una máquina que se considere infectada. Por ejemplo, la alerta del conector de Defender ATP se transfirió al servidor de SecOps de Google y, durante el análisis de la alerta, se descubrió que la máquina relacionada con la alerta (entidad de caso) puede estar infectada y debe aislarse.
Fecha de ejecución
Esta acción se ejecuta en las siguientes acciones:
- Host
- Dirección IP
Resultados de la acción
Resultado de secuencia de comandos
Es verdadero si el extremo de la API devolvió para cada entidad proporcionada en la que se ejecutó, estado 201, en la respuesta JSON "status": "Pending", lo que indica que la solicitud a la API se ejecutó correctamente. Si la acción falla para al menos una de las entidades, el resultado final debe ser un error (falso).
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "Isolate",
"requestor": "requestor-id",
"requestorComment": "Machine Isolation due to alert ...",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-21T03:55:59.5419077Z",
"lastUpdateDateTimeUtc": "2019-11-21T03:55:59.5419077Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": null
}
Estadísticas
- Lógica de la sugerencia: Si la máquina se aisló con el agente de ATP de Defender, crea una sugerencia para indicarlo.
- Tipo: Entidad.
- Title (cadena): entidad.
- IdentifierMessage: "El host se aisló con Microsoft Defender for Endpoint".
Unisolate Machine
Aísla una máquina que se aisló previamente con Microsoft Defender for Endpoint.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Comentario | String | N/A | Sí | Especifica un comentario sobre por qué se debe quitar el aislamiento de la máquina. |
| ¿Cómo crear una estadística? | Casilla de verificación | Marcado | Si está habilitada, la acción crea una estadística de Google SecOps con información relacionada si se ejecuta correctamente. |
Casos de uso
La acción se puede usar en situaciones en las que la máquina ya estaba aislada, pero con los datos nuevos recopilados durante el procesamiento del playbook (por ejemplo, primero se aisló la máquina, luego creamos un indicador de amenazas para un archivo sospechoso y ejecutamos la acción "Detener y poner en cuarentena" para quitar este archivo de la máquina afectada), podemos considerar que es seguro quitar la máquina afectada del aislamiento.
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Host
- Dirección IP
Resultados de la acción
Resultado de secuencia de comandos
Es verdadero si el extremo de la API devolvió para cada entidad proporcionada en la que se ejecutó, estado 201, en la respuesta JSON "status": "Pending", lo que indica que la solicitud a la API se ejecutó correctamente. Si la acción falla para al menos una de las entidades, el resultado final debe ser un error (falso).
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "Unisolate",
"requestor": "requestor-id",
"requestorComment": "Unisolate machine due to the following remediation measures taken...",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-21T03:59:34.7389352Z",
"lastUpdateDateTimeUtc": "2019-11-21T03:59:34.7389352Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": null
}
Estadísticas
- Tipo: Entidad
- Entidad Title:
- IdentifierMessage: Se quitó el aislamiento de Microsoft Defender for Endpoint.
Ejecutar análisis de antivirus
Inicia un análisis antivirus en un host con Microsoft Defender for Endpoint. Hay dos tipos de análisis de ATP de Defender disponibles: completo o rápido.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Tipo de análisis antivirus | DDL | Completo Valores posibles:
|
Sí | Especifica si se debe iniciar un análisis antivirus completo o rápido en la máquina. |
| Comentario | String | N/A | Sí | Especifica un comentario sobre por qué se debe ejecutar un análisis de antivirus en la máquina. |
Casos de uso
Se recibió una alerta del conector de Defender ATP. Durante el procesamiento de la alerta, se encontraron indicadores de vulneraciones de software malicioso en la máquina relacionados con la entidad del caso de SecOps de Google. Por ese motivo, el usuario decidió ejecutar un análisis antivirus en la máquina para intentar encontrar software malicioso en el host.
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Host
- Dirección IP
Resultados de la acción
Resultado de secuencia de comandos
Es verdadero si el extremo de la API devolvió para cada entidad proporcionada en la que se ejecutó, estado 201, en la respuesta JSON "status": "Pending", lo que indica que la solicitud a la API se ejecutó correctamente. Si la acción falla para al menos una de las entidades, el resultado final debe ser un error (falso).
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "RunAntiVirusScan",
"requestor": "requestor_id",
"requestorComment": "Run antivirus scan on suspect",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-21T11:07:06.611628Z",
"lastUpdateDateTimeUtc": "2019-11-21T11:07:06.611628Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": null
}
Detener y poner en cuarentena un archivo en una máquina específica
Detener la ejecución de un archivo en una máquina específica y ponerlo en cuarentena con el agente de ATP de Microsoft Defender. La acción funciona con entidades de SecOps de Google basadas en el host o la IP.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Hash SHA1 del archivo para poner en cuarentena | String | N/A | Sí | Especifica el hash SHA-1 del archivo que se detendrá y pondrá en cuarentena. Nota: El hash SHA-1 debe estar en minúsculas para que la acción encuentre el archivo coincidente. |
| Comentario | String | N/A | Sí | Especifica un comentario sobre por qué se debe ejecutar un análisis de antivirus en la máquina. |
| ¿Cómo crear una estadística? | Casilla de verificación | Marcado | Si está habilitada, la acción creará una estadística de Google SecOps con información relacionada si se ejecuta correctamente. |
Casos de uso
Durante el procesamiento de la alerta que provino del conector de Defender ATP, se puede usar la acción "Detener y poner en cuarentena el archivo" para bloquear la ejecución del archivo específico y evitar que se vea comprometida la máquina. La necesidad de esta acción puede surgir de la búsqueda avanzada, y el usuario puede descubrir algunos archivos potencialmente maliciosos que, en ese momento, desea bloquear en una sola máquina.
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Host
- Dirección IP
Resultados de la acción
Resultado de secuencia de comandos
Puede ser verdadero o falso. Es verdadero si el extremo de la API devolvió para cada entidad proporcionada en la que se ejecutó, estado 201, en la respuesta JSON "status": "Pending", lo que indica que la solicitud a la API se ejecutó correctamente. Si falla la acción de al menos una de las entidades, el resultado final debe ser un error (falso).
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "StopAndQuarantineFile",
"requestor": "requestor-id",
"requestorComment": "Stopping and quarantining putty",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-25T10:05:21.3641296Z",
"lastUpdateDateTimeUtc": "2019-11-25T10:05:21.3641296Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": {
"fileIdentifier": "d932604ab8e9debe475415851fd26929a0c0dcd1",
"fileIdentifierType": "Sha1"
}
}
Estadísticas
- Tipo: Entidad.
- Title (cadena): entidad.
- IdentifierMessage (String): "Se detuvo y puso en cuarentena el archivo con el hash SHA-1 {0} el {1}". format (filehash,entity.Identifier).
Recibe alertas relacionadas con archivos
Recibe alertas relacionadas con un archivo de Microsoft Defender for Endpoint según el hash del archivo.
Parámetros
| Valor de visualización del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Estado | String | Desconocido, Nuevo, En curso, Resuelto | No | Especifica los estados de las alertas que se buscarán. El parámetro acepta varios valores como una cadena separada por comas. |
| Gravedad | String | UnSpecified, Informational, Low, Medium, High | NO | Especifica la gravedad de los incidentes que se deben buscar. El parámetro acepta varios valores como una cadena separada por comas. |
| Categoría | String | N/A | No | Especifica la categoría de alerta que se buscará. Si no se proporciona, la acción buscará todas las categorías. El parámetro acepta varios valores como una cadena separada por comas. Valores posibles: "Collection", "CommandAndControl", "CredentialAccess", "DefenseEvasion", "Discovery", "Execution", "Exfiltration", "Exploit", "InitialAccess", "LateralMovement", "Malware", "Persistence", "PrivilegeEscalation", "Ransomware", "SuspiciousActivity", "UnwantedSoftware". |
| ID del incidente | Número entero | N/A | No | Especifica el ID del incidente de Microsoft Defender para el que deseas encontrar alertas relacionadas. |
Casos de uso
Mientras investigas una alerta que provino del conector de Defender ATP, esta acción se puede usar para recopilar información sobre si este archivo está asociado con alguna alerta y obtener información sobre si el archivo es malicioso o no.
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
"value": [
{
"id": "example_id",
"incidentId": 2,
"investigationId": 1,
"assignedTo": null,
"severity": "Medium",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "TerminatedBySystem",
"detectionSource": "WindowsDefenderAtp",
"category": "DefenseEvasion",
"threatFamilyName": null,
"title": "Suspicious process injection observed",
"description": "A process abnormally injected code into another process, As a result, unexpected code may be running in the target process memory. Injection is often used to hide malicious code execution within a trusted process. \nAs a result, the target process may exhibit abnormal behaviors such as opening a listening port or connecting to a command and control server.",
"alertCreationTime": "2019-11-19T03:56:37.7335862Z",
"firstEventTime": "2019-11-19T03:54:15.7698362Z",
"lastEventTime": "2019-11-19T03:54:15.7698362Z",
"lastUpdateTime": "2019-11-20T10:13:31.7266667Z",
"resolvedTime": null,
"machineId": "machine-id",
"alertUser": {
"accountName": "example.user",
"domainName": "EXAMPLELAB"
},
"comments": [],
"alertFiles": [
{
"sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
"sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
"filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"fileName": "powershell.exe"
},{
"sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
"sha256": "328954033456d5c13e58fb5bcc6c0232f9f62cb6d9185afa51c7913338992491",
"filePath": "C:\\Windows\\System32\\notepad.exe",
"fileName": "notepad.exe"
}
],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
]
}
Obtén máquinas relacionadas con el archivo
Obtiene las máquinas relacionadas con un archivo de Microsoft Defender for Endpoint según el hash del archivo.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Nombre de la máquina | String | N/A | No | Especifica el nombre completo de la máquina que se buscará. |
| Dirección IP de la máquina | String | N/A | No | Especifica la dirección IP de la máquina que se buscará. |
| Puntuación de riesgo de la máquina | String | N/A | No | Especifica la puntuación de riesgo de la máquina que se buscará. El parámetro acepta varios valores como una cadena separada por comas. |
| Estado de la máquina | String | Active, Inactive, ImpairedCommunication, NoSensorData, NoSensorDataImpairedCommunication | No | Especifica el estado de la máquina que se buscará. El parámetro acepta varios valores como una cadena separada por comas. |
| Plataforma del SO de la máquina | String | N/A | No | Especifica la plataforma del SO de la máquina que se buscará. |
| ID del grupo de RBAC | String | N/A | No | Especifica el ID del grupo de RBAC que se buscará. |
Casos de uso
Mientras investigas una alerta que provino del conector de Defender ATP, esta acción se puede usar para recopilar información sobre las máquinas en las que se registró este archivo en Defender ATP.
Fecha de ejecución
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines",
"value": [
{
"id": "example_id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-18T11:13:04.0588699Z",
"lastSeen": "2019-11-20T19:35:36.4619266Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.1",
"lastExternalIpAddress": "203.0.113.121",
"agentVersion": "10.4860.17134.982",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "High",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
}
]
}
Ejecuta la consulta de búsqueda avanzada de amenazas
Ejecuta la consulta de búsqueda avanzada de Microsoft Defender for Endpoint. Ten en cuenta que las comillas, las líneas nuevas y otros símbolos especiales deben escaparse. Por ejemplo, usa la barra inversa para escapar las comillas.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
| Consulta | String | N/A | Sí | Es la consulta de búsqueda avanzada que se ejecutará. |
Casos de uso
El usuario puede tener consultas de búsqueda que desea usar para consultar los datos recopilados en Defender ATP durante el procesamiento de una alerta específica de Defender. Con esta acción, el usuario puede ejecutar esas consultas de búsqueda avanzada.
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"Stats": {
"ExecutionTime": 0.0156652,
"resource_usage": {
"cache": {
"memory": {
"hits": 13,
"misses": 0,
"total": 13
},
"disk": {
"hits": 0,
"misses": 0,
"total": 0
}
},
"cpu": {
"user": "00:00:00.0156250",
"kernel": "00:00:00",
"total cpu": "00:00:00.0156250"
},
"memory": {
"peak_per_node": 33554624
}
},
"dataset_statistics": [
{
"table_row_count": 2,
"table_size": 60
}
]
},
"Schema": [
{
"Name": "EventTime",
"Type": "DateTime"
},
{
"Name": "FileName",
"Type": "String"
},
{
"Name": "InitiatingProcessFileName",
"Type": "String"
}
],
"Results": [
{
"EventTime": "2019-11-18T11:13:07.043128Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe"
},
{
"EventTime": "2019-11-19T03:54:14.4256361Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe"
}
]
}
Espera el estado de la tarea
Espera el estado de una tarea.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| IDs de tareas | String | N/A | Sí | Es una lista de IDs de tareas como una cadena separada por comas. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"status": "Succeeded",
"creation_date_time_utc": "2020-02-08T03:24:52.8526634Z",
"cancellation_requestor": null,
"cancellation_date_time_utc": null,
"id": "2e39d22e-60a7-4267-899c-a1471e800000",
"last_update_date_time_utc": "2020-02-08T03:25:35.8345081Z",
"related_file_info": null,
"cancellation_comment": null,
"requestor": "e4fc6454-754d-47f7-bbdb-045fad600000",
"error_h_result": 0,
"scope": "Selective",
"machine_id": "fbc85cf3fbcc8bb14d1a84fcf7bbae4531f00000",
"type": "Isolate",
"requestor_comment": "test"
}
]
Obtén el estado actual de la tarea
Obtiene el estado actual de una tarea.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| IDs de tareas | String | N/A | Sí | Es una lista de IDs de tareas como una cadena separada por comas. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"status": "Succeeded",
"creation_date_time_utc": "2020-02-08T03:24:52.8526634Z",
"cancellation_requestor": null,
"cancellation_date_time_utc": null,
"id": "2e39d22e-60a7-4267-899c-a1471e800000",
"last_update_date_time_utc": "2020-02-08T03:25:35.8345081Z",
"related_file_info": null,
"cancellation_comment": null,
"requestor": "e4fc6454-754d-47f7-bbdb-045fad600000",
"error_h_result": 0,
"scope": "Selective",
"machine_id": "fbc85cf3fbcc8bb14d1a84fcf7bbae4531f00000",
"type": "Isolate",
"requestor_comment": "test"
}
]
Envía indicadores de entidades
Envía entidades como indicadores en Microsoft Defender for Endpoint.
Parámetros
| Nombre de parámetro visible | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Acción | DDL | Bloquear Valores posibles:
|
Sí | Especifica la acción que se debe aplicar a las entidades. Nota: El valor "Block And Remediate" solo se admite para las entidades de hash de archivo. |
| Gravedad | DDL | Alta Valores posibles:
|
Sí | Especifica la gravedad de las entidades encontradas. |
| Aplicación | String | N/A | No | Especifica una aplicación relacionada con las entidades. |
| Título de la alerta del indicador | String | N/A | Sí | Especifica el título de la alerta, si se identifica en el entorno. |
| Descripción | String | Google SecOps Remediation | Sí | Especifica la descripción de las entidades. |
| Acción recomendada | String | N/A | No | Especifica las acciones recomendadas para el manejo de las entidades. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- URL
- Filehash
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor / Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para una entidad (is_success = true): "Se enviaron correctamente las siguientes entidades como indicadores a Microsoft Defender for Endpoint: {entity.identifier}". Si los datos no están disponibles para una entidad (is_success=true): "No se pudieron enviar las siguientes entidades como indicadores a Microsoft Defender for Endpoint: {entity.identifier}". Si se informa el código de estado 403 para una entidad, se muestra el siguiente mensaje: "La instancia no tiene suficientes permisos para enviar las siguientes entidades: {entity.identifier} Si los datos no están disponibles para todas las entidades (is_success=false): "Ninguna de las entidades proporcionadas se envió como indicador a Microsoft Defender for Endpoint". Si una entidad ya es un indicador: "Las siguientes entidades ya son indicadores en Microsoft Defender para Endpoint: {entity.identifier}". La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el siguiente mensaje: "Error al ejecutar la acción "Submit Entity Indicators". Motivo: {0}''.format(error.Stacktrace) Si se informa el código de estado 403 para todas las entidades: "Error al ejecutar la acción "Submit Entity Indicators". Motivo: No se creó ninguno de los indicadores debido a los permisos de la instancia. Verifica la configuración". |
General |
Borra los indicadores de entidades
Borra los indicadores de entidades en Microsoft Defender for Endpoint.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- URL
- Filehash
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor / Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa el código de estado 204 (is_success=true): "Se borraron correctamente las siguientes entidades como indicadores en Microsoft Defender for Endpoint: {entity.identifier}. Si no se encuentra el incidente (is_success=true): "Las siguientes entidades no existen como indicadores en Microsoft Defender for Endpoint: {entity.identifier}. La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el siguiente mensaje: "Error al ejecutar la acción "Delete Entity Indicators". Motivo: {0}''.format(error.Stacktrace) |
General |
Enumera indicadores
Enumera los indicadores en Microsoft Defender for Endpoint.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Indicadores | CSV | N/A | No | Especifica una lista separada por comas de los indicadores que deseas recuperar. |
| Tipos de indicadores | CSV | FileSha1,FileSha256,FileMd5,CertificateThumbprint,IpAddress,DomainName, Url | No | Especifica una lista separada por comas de los tipos de indicadores que deseas recuperar. Valores posibles: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress,DomainName, Url. |
| Acciones | CSV | Warn,Block,Audit,Alert,AlertAndBlock,BlockAndRemediate,Allowed | No | Especifica una lista separada por comas de las acciones del indicador que deseas usar para filtrar. Valores posibles: Warn,Block,Audit,Alert, AlertAndBlock,BlockAndRemediate,Allowed |
| Gravedad | CSV | Informativo,Bajo,Medio,Alto | No | Especifica una lista separada por comas de los niveles de gravedad que deseas usar para filtrar. Valores posibles: Informativo,Bajo,Medio,Alto |
| Cantidad máxima de resultados para devolver | Número entero | 50 | No | Especifica la cantidad de indicadores que se devolverán. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"id": "18",
"indicatorValue": "110e7d15b011d7fac48f2bd61114db1022197f7a",
"indicatorType": "FileSha1",
"action": "Audit",
"createdBy": "45e9773c-100e-4a9f-ad37-d8e182e9ed26",
"severity": "Informational",
"category": 1,
"application": "demo-test",
"educateUrl": null,
"bypassDurationHours": null,
"title": "test",
"description": "test",
"recommendedActions": "nothing",
"creationTimeDateTimeUtc": "2022-02-08T14:20:34.9071582Z",
"expirationTime": null,
"lastUpdateTime": "2022-02-08T14:20:34.9151307Z",
"lastUpdatedBy": null,
"rbacGroupNames": [],
"rbacGroupIds": [],
"notificationId": null,
"notificationBody": null,
"version": null,
"mitreTechniques": [],
"historicalDetection": false,
"lookBackPeriod": null,
"generateAlert": true,
"additionalInfo": null,
"createdByDisplayName": "Example Defender ATP",
"externalId": null,
"createdBySource": "PublicApi",
"certificateInfo": null
}
Muro de casos
| Tipo de resultado | Valor / Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles (is_success=true): "Se encontraron correctamente indicadores para los criterios proporcionados en Microsoft Defender for Endpoint". Si los datos no están disponibles (is_success=false): "No se encontraron indicadores para los criterios proporcionados en Microsoft Defender for Endpoint". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "List Indicators"". Reason: {0}''.format(error.Stacktrace) Si se proporciona un parámetro "Tipos de indicadores" no válido, se mostrará el mensaje "Error al ejecutar la acción "List Indicators"". Motivo: Valor no válido para el parámetro "Tipos de indicadores". Valores posibles: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress, DomainName, Url. Si se proporciona un parámetro "Actions" no válido, se muestra el mensaje "Error executing action "List Indicators"". Motivo: Valor no válido para el parámetro "Actions". Valores posibles: Warn, Block, Audit, Alert, AlertAndBlock, BlockAndRemediate, Allowed. Si se proporciona un parámetro "Severity" no válido: "Error al ejecutar la acción "List Indicators"". Motivo: Valor no válido para el parámetro "Actions". Valores posibles: Informativo, Bajo, Medio y Alto. |
General |
| Tabla del muro de casos | Indicadores encontrados Tipo: indicatorType Acción: action Gravedad: gravedad Descripción: descripción Título: título Recomendación: recommendedActions |
Entidad |
Conectores
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Para configurar el conector seleccionado, usa los parámetros específicos del conector que se indican en las siguientes tablas:
- Parámetros de configuración del conector de Microsoft Defender ATP
- Parámetros de configuración de Microsoft Defender ATP Connector v2
Conector de Microsoft Defender ATP
La API del SIEM de Defender ATP que se usa en el conector de Microsoft Defender ATP para eventos dejó de estar disponible el 1 de marzo de 2022.
El conector se conecta periódicamente al extremo de API de Defender ATP y extrae una lista de alertas generadas durante un período específico. Para las alertas procesadas, el conector extrae la información sobre las detecciones de Defender ATP en una solicitud independiente. Las detecciones tienen un campo AlertId que se puede usar para asociarlas con alertas específicas.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | ProductName | Sí | Describe el nombre del campo en el que se almacena el nombre del producto. |
| Nombre del campo del evento | String | AlertName | Sí | Describe el nombre del campo en el que se almacena el nombre del evento. |
| Nombre del campo del entorno | String | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, el entorno es "". |
| Patrón de expresión regular del entorno | String | .* | No | Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo El valor predeterminado es .* para capturar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno con la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o el valor del entorno es nulo, el resultado final del entorno es "". |
| Raíz de la API | String | https://api.securitycenter.windows.com | Sí | Es la URL raíz de la API que se usará con la integración. Para obtener un mejor rendimiento, puedes usar un servidor más cercano a tu ubicación:
|
| ID de Azure Active Directory | String | N/A | Sí | El ID de usuario de Microsoft Entra se puede ver en Active Directory > Registro de la aplicación > Tu aplicación > ID de directorio (usuario). |
| ID de cliente de la integración | String | N/A | Sí | Es el ID de cliente (aplicación) que se agrega para el registro de la app en Microsoft Entra para la integración. |
| Secreto del cliente de integración | Contraseña | N/A | Sí | Es el secreto que se ingresa para el registro de la app de Azure AD para la integración. |
| ID de cliente del SIEM | String | N/A | Sí | Es el ID de cliente (aplicación) de la integración del SIEM habilitada en Microsoft Defender for Endpoint. |
| Secreto del cliente de SIEM | Contraseña | N/A | Sí | Es el secreto para la integración de SIEM habilitada en Microsoft Defender for Endpoint. |
| Tiempo de desfase en horas | Número entero | 24 | Sí | Recupera alertas de X horas hacia atrás. |
| Cantidad máxima de alertas por ciclo | Número entero | 100 | Sí | Es la cantidad de alertas que se procesan durante una ejecución del conector. |
| Estados de alerta que se recuperarán | String | Desconocido, Nuevo, En curso, Resuelto | Sí | Especifica los estados de las alertas de Defender ATP que debe recuperar el servidor de Google SecOps. El parámetro puede tomar varios valores como una cadena separada por comas. |
| Gravedad de las alertas que se recuperarán | String | UnSpecified, Informational, Low, Medium, High | Sí | Especifica las gravedades de las alertas de Defender ATP que debe recuperar el servidor de SecOps de Google. El parámetro puede tomar varios valores como una cadena separada por comas. |
| Dirección del servidor proxy | IP_OR_HOST | N/A | No | Servidor proxy que se usará para la conexión. |
| Nombre de usuario del servidor proxy | String | N/A | No | Nombre de usuario del servidor proxy. |
| Contraseña del servidor proxy | Contraseña | N/A | No | Contraseña del servidor proxy. |
Reglas del conector
El conector no admite reglas de listas de bloqueo ni listas dinámicas.
El conector admite proxies.
Conector de Microsoft Defender ATP V2
Recupera las alertas de ATP de Defender con la API de incidentes de Microsoft 365 Defender para obtener los datos del evento. Usa la lista dinámica del conector para transferir solo tipos específicos de alertas según el valor del atributo detectionSource de la alerta.
El atributo del conector SourceGroupIdentifier se puede usar para agrupar alertas según el ID de incidente de Defender ATP.
Requisitos previos
Antes de configurar el conector, asegúrate de otorgar permisos adicionales a tu aplicación de Microsoft Entra:
Accede al portal de Azure como administrador de usuarios o administrador de contraseñas.
Selecciona Microsoft Entra ID.
Ve a Permisos de API > Agregar un permiso > APIs que usa mi organización.
Selecciona Microsoft Threat Protection > Permisos de aplicación.
En la sección Seleccionar permisos, selecciona los siguientes permisos obligatorios:
Incident.Read.AllIncident.ReadWrite.All
Haz clic en Agregar permisos.
Haz clic en Otorgar consentimiento del administrador para
YOUR_ORGANIZATION_NAME.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | :: | Sí | Describe el nombre del campo en el que se almacena el nombre del producto. |
| Nombre del campo del evento | String | EventName | Sí | Describe el nombre del campo en el que se almacena el nombre del evento. |
| Nombre del campo del entorno | String | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, el entorno es "". |
| Patrón de expresión regular del entorno | String | .* | No | Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo El valor predeterminado es .* para capturar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno con la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o el valor del entorno es nulo, el resultado final del entorno es "". |
| Raíz de la API de Defender ATP | String | https://api.securitycenter.windows.com | Sí | URL raíz de la API que se usará con la integración Para obtener un mejor rendimiento, puedes usar un servidor más cercano a tu ubicación:
|
| Raíz de la API de 365 Defender | String | https://api.security.microsoft.com | Sí | Es la raíz de la API de la instancia de Microsoft 365 Defender que se usa para obtener los datos de eventos de Google SecOps. |
| ID de Azure Active Directory | String | N/A | Sí | Es el ID de usuario de Microsoft Entra que se encuentra en Microsoft Entra > Registro de aplicaciones > Tu aplicación > ID de directorio (usuario). |
| ID de cliente de la integración | String | N/A | Sí | Es el ID de cliente (aplicación) que se agrega para el registro de la app en Microsoft Entra para la integración. |
| Secreto del cliente de integración | Contraseña | N/A | Sí | Es el secreto que se ingresa para el registro de la app de Azure AD para la integración. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitado, verifica que el certificado SSL para la conexión al servidor de Microsoft 365 Defender sea válido. |
| Tiempo de desfase en horas | Número entero | 24 | Sí | Recupera alertas de X horas hacia atrás. |
| Cantidad máxima de alertas por ciclo | Número entero | 10 | Sí | Es la cantidad de alertas que se procesan durante una ejecución del conector. |
| Estados de alerta que se recuperarán | String | Desconocido, Nuevo, En curso, Resuelto | Sí | Especifica los estados de las alertas de Defender ATP que debe recuperar el servidor de Google SecOps. El parámetro puede tomar varios valores como una cadena separada por comas. |
| Gravedad de las alertas que se recuperarán | String | UnSpecified, Informational, Low, Medium, High | Sí | Especifica las gravedades de las alertas de Defender ATP que debe recuperar el servidor de SecOps de Google. El parámetro puede tomar varios valores como una cadena separada por comas. |
| Inhabilita el desbordamiento | Casilla de verificación | Desmarcado | No | Si está habilitado, el conector ignora el mecanismo de desbordamiento. |
| Tiempo de espera de la secuencia de comandos | Número entero | 300 | Sí | Especifica el tiempo de espera para que se ejecute el conector. |
| Usar la lista blanca como lista negra | Casilla de verificación | Desmarcado | No | Si se habilita, la lista dinámica se usa como lista de bloqueo. |
| Dirección del servidor proxy | IP_OR_HOST | N/A | No | Servidor proxy que se usará para la conexión. |
| Nombre de usuario del servidor proxy | String | N/A | No | Nombre de usuario del servidor proxy. |
| Contraseña del servidor proxy | Contraseña | N/A | No | Contraseña del servidor proxy. |
Reglas del conector
El conector admite una lógica de lista dinámica basada en el valor del campo de alerta de detectionSource de Defender ATP.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.